faktoora nutzt die folgenden Drittanbieter-Dienste zur Bereitstellung, Unterstützung und Absicherung unserer Plattform. Mit allen Auftragsverarbeitern besteht ein Auftragsverarbeitungsvertrag (AVV), und wir überprüfen regelmäßig deren Sicherheitsstatus.
Infrastruktur
| Auftragsverarbeiter | Zweck | Standort | Zertifizierungen |
|---|
| Hetzner | Cloud-Hosting und Infrastruktur | Deutschland (EU) | ISO 27001 |
Zahlungen
| Auftragsverarbeiter | Zweck | Standort | Zertifizierungen |
|---|
| Stripe | Zahlungsabwicklung und Abonnementverwaltung | USA (EU-SCCs) | PCI DSS Level 1, SOC 2 |
| BanksAPI | Banktransaktionsabgleich und -zuordnung | EU | AVV vorhanden |
Kommunikation
| Auftragsverarbeiter | Zweck | Standort | Zertifizierungen |
|---|
| Mailjet | Transaktionale E-Mail-Zustellung (Rechnungen, Benachrichtigungen) | Frankreich (EU) | AVV vorhanden |
E-Invoicing
| Auftragsverarbeiter | Zweck | Standort |
|---|
| Peppol-Netzwerk | Paneuropäische E-Rechnungszustellung (AS4-Protokoll) | EU |
| AEAT (Spanische Steuerbehörde) | VeriFactu-Pflichtregistrierung | Spanien (EU) |
KI-Dienste
| Auftragsverarbeiter | Zweck | Standort | Datenumfang |
|---|
| OpenAI | Optionale KI-gestützte Produktkatalogeingabe | USA (AVV mit SCCs) | Erhält ausschließlich vom Benutzer eingegebenen Text — niemals vorhandene Produktdaten, Rechnungen, Kundendaten oder personenbezogene Daten |
Datenschutz
| Auftragsverarbeiter | Zweck | Standort |
|---|
| PROLIANCE GmbH | Externer Datenschutzbeauftragter | Deutschland (München) |
Vom Kunden konfigurierte Integrationen
Die folgenden Dienste können Kundendaten verarbeiten, wenn sie explizit vom Kunden konfiguriert und autorisiert werden. faktoora sendet keine Daten an diese Dienste, sofern der Kunde die Integration nicht aktiviert.
| Dienst | Kategorie | Zweck |
|---|
| Xero | Buchhaltung | Rechnungs- und Kontaktsynchronisation |
| DATEV | Buchhaltung | Datenaustausch mit dem Steuerberater |
| Bexio | Buchhaltung | Schweizer Buchhaltungssynchronisation |
| Weclapp | ERP | Geschäftsprozess-Synchronisation |
| HubSpot | CRM | Kontakt- und Deal-Synchronisation |
| Pipedrive | CRM | Vertriebspipeline-Synchronisation |
| Monday.com | CRM | Projekt- und Kontaktverwaltung |
| Eigener SMTP/IMAP | E-Mail | Vom Kunden bereitgestellte E-Mail-Server |
| Eigene Webhooks | Integration | Vom Kunden definierte HTTP-Endpunkte für Ereignisbenachrichtigungen |
Kunden unterhalten ihre eigenen Beziehungen und Vereinbarungen mit diesen Anbietern. faktoora handelt als Auftragsverarbeiter gemäß den Weisungen des Kunden für diese Integrationen.
Bewertungskriterien
Bei der Auswahl von Auftragsverarbeitern bewerten wir:
- Datenresidenz — EU-basiertes Hosting bevorzugt; außerhalb der EU sind Standardvertragsklauseln erforderlich
- Sicherheitszertifizierungen — ISO 27001, SOC 2, PCI DSS oder gleichwertig für kritische Dienste erforderlich
- Auftragsverarbeitungsverträge — verpflichtend für alle Verarbeiter personenbezogener Daten
- Verschlüsselung — TLS 1.2+ bei Übertragung und Verschlüsselung bei Speicherung für kritische Dienste erforderlich
- Vorfallsbenachrichtigung — fristgerechte Meldepflichten bei Datenschutzverletzungen
Prüfintervalle
| Lieferantenklassifizierung | Prüfhäufigkeit |
|---|
| Kritisch | Vierteljährlich |
| Wichtig | Jährlich |
| Standard | Jährlich |
Änderungen dieser Liste
Wir informieren betroffene Kunden vor der Beauftragung eines neuen Auftragsverarbeiters, der personenbezogene Daten verarbeitet. Bei Fragen zu unseren Auftragsverarbeitern kontaktieren Sie compliance@faktoora.com.